Python中csrf攻击与防御

最新推荐文章于 2021-05-08 23:41:52 发布
最新推荐文章于 2021-05-08 23:41:52 发布
阅读量558 收藏
点赞数
分类专栏: python 文章标签: 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40433083/article/details/102555281
版权

CSRF概念

CSRF跨站点请求伪造(Cross—Site Request Forgery)。

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

CSRF攻击原理以及过程

  1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
  2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
  3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
  4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
  5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

 

使用token进行防御

目前防御 CSRF 攻击主要有三种策略:验证 HTTP Referer 字段;在请求地址中添加 token 并验证;在 HTTP 头中自定义属性并验证。

CSRF 攻击之所以

最低0.47元/天 解锁文章
kerman_jt
关注
专栏目录
Python学习笔记:6.3.11 csrf攻击与防范
元文的博客
02-17 392
简介:讲解了什么是CSRF、flask如何使用表单的CSRF保护以及AJAX的CSRF保护等内容
python跨域攻击教学_编码实录 —— 跨域伪装攻击CSRF
weixin_39869791的博客
12-21 138
重要声明进行任何程度的非授权CSRF攻击都属于违法行为!!!CSRF概念Cross-Site Request Forgery 跨站请求伪造 —— 通过伪造成被授权用户对授权服务器开展非法行为,如获取资料、修改/删除资料、造成服务瘫痪等。准备工作postman/ 自建服务器(jsp为例)实录首先登录自建服务,在默认使用Session的情况下java(php / .net / python / no...
csrfpython django的一些应用
houzi_01的博客
07-03 715
1、csrf 基本知识2、django自带的csrf间件的使用问题1、概念        CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。       CSRF攻击原理(借鉴一个总结的非常好的图解):如果还不够形象,再来个例子~   ...
Python-csrf
傻瓜的专栏
12-05 1351
<br />CSRF是伪造客户端请求的一种攻击CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。<br /> <br />解决方法:<br />(1)在setting:增加红色的三行<br />MIDDLEWARE_CLASSES = (<br />    'django.middleware.common.CommonMiddleware',<br />    'django.contrib.sessions.middleware.SessionM
Python随笔之CSRF问题解决办法
Chris Mao的专栏
09-14 740
在学习Django之初,遇到这样一个问题,就是在提交数据的时候会出现如下图所示的错误   在网上找了一些解决方法,发现下面这个方法还是比较简单的。 就是在settings.py文件里面的MIDDLEWARE_CLASSES加入''django.middleware.csrf.CsrfResponseMiddleware',错误就可以消除了。   版权声明:本文为博主原创文章,...
Python Django框架防御CSRF攻击的方法分析
09-18
下面我们将深入探讨Django如何防御CSRF攻击,以及如何配置和使用这些防御策略。 首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单...
Python Django,CSRF攻击CSRF防御
houyanhua1的专栏
12-14 411
  项目名/settings.py(项目配置,csrf间件配置): MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.Cs...
CSRF攻击
weixin_45619627的博客
05-14 198
这里写目录标题CSRFCSRF攻击示意图防止 CSRF 攻击CSRF_TOKEN的设置过程 CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤 在客户端向后端请求界面数据的时候,后端会往响应
python csrf(xsrf: 在 tornado ) 和 cors
xinxinNoGiveUp的博客
12-26 1597
csrf 跨站请求伪造csrf( cross-site request forgery) 属于一种跨站攻击, 在 tornado 被称为 xsrf
pythonCSRF设置(一)
野先生的专栏
10-31 2408
pythonCSRF设置一 csrf:跨站请求伪造,通过间件 django.middleware.csrf.CsrfViewMiddleware 来完成 1、单个ajax提交设置,在ajax内添加:headers: {‘X-CSRFtoken’: $.cookie(‘csrftoken’)}, $('#btn').click(function () { $.ajax({ ...
Python:djanjo之csrf防跨站攻击
weixin_42161670的博客
05-08 592
一.CSRF简介 CSRF是什么? CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全CSRF漏洞现状? CSRF这种攻击方式在
Django 的 CSRF 保护机制
weixin_34348174的博客
12-02 225
用 django 有多久,我跟 csrf 这个概念打交道就有久了。 每次初始化一个项目时都能看到 django.middleware.csrf.CsrfViewMiddleware 这个间件 每次在模板里写 form 时都知道要加一个 {% csrf_token %} tag 每次发 ajax POST 请求,都需要加一个 X_CSRFTOKEN 的 header 但是一直我都是...
python简易实现的 csrf防护
he93007的博客
11-30 523
上一篇讲的是用flask-wtf这个库实现csrf防护 https://blog.csdn.net/he93007/article/details/79980956   这篇讲一下手动实现. 按业务流程来讲 1 用户发起了登录请求  {username:xxxx,passwd:xxxx}   2 后端查询数据库 用户名密码是否正确,是否存在用户   3 存在用户且密码正确,我们...
python requests请求带有csrf-token的网站,比如使用Django搭建的网站
水月灯花的博客
05-15 8095
1、post请求原理 在使用Python的request模块的post请求时,由于网站开启了csrf跨站请求攻击,会出现403错误,因为我们在使用post的时候没有携带csrf数据去验证,网站会不认可我们,因此我们需要第一次的时候使用get请求,然后使用re正则匹配到这个csrf-token命令,取出来这个命令,然后在使用post发送请求,在请求的数据添加csrf的键值对,然后就可以使用post访问到网上了,并且也可以post请求携带数据。 2、操作方式 就是先访问一次登录页,然后从登录页查找
如何防止CSRF攻击
孑然一身勇
04-15 353
前端大佬的总结:点击 目前只用到csrf token ,访问一个页面时后台创建一个token,放入session,并且传到前台。 写成如下形式:<input id="csrf-token" type="hidden" value="${csrfToken}" /> 前台提交时,将token一起提交,与session的token比较。 ...
python模拟开发WebQQ(三)处理CSRF
yill_h的博客
06-24 772
对跨站域请求伪造(csrf)的处理,提高软件安全性 当直接post没有加验证时会出现403错误。 这是由于csrf出现的问题     csrf的定义如下: 一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,
python服务器拒绝服务器攻击
weixin_33881041的博客
03-16 390
# -*- coding: cp936 -*-from scapy.all import *from threading import Thread,activeCountfrom random import randintclass Loop(Thread): def __init__(self,remoteAddr): Threa...
csrfpython的运用格式
Dai_yinian6的博客
06-23 458
# 导入生成 csrf_token 值的函数 from flask_wtf.csrf import generate_csrf # 调用函数生成 csrf_token csrf_token = generate_csrf()@app.after_request def after_request(response): # 调用函数生成 csrf_token csrf_token =...
python常见的csrf漏洞修复
最新发布
07-28
Python,常见的修复CSRF(跨站请求伪造)漏洞的方法如下: 1. 随机令牌:为了防止CSRF攻击,可以在每个用户会话生成一个随机的令牌,并将令牌添加到每个表单请求作为隐藏字段或cookie。服务器在接收到请求后,会验证令牌的有效性,如果不匹配则拒绝请求。 2. Referer检查:在接收到请求时,服务器可以检查Referer头信息,该头信息显示了请求的来源页面。如果来源页面与当前请求的页面不匹配,则可以拒绝请求。但需要注意的是,Referer头信息有时会被浏览器禁用或篡改,因此不能完全依赖该方法来防止CSRF攻击。 3. Samesite Cookie属性:在Python的Web框架,可以使用Samesite Cookie属性来解决CSRF问题。设置Cookie的Samesite属性为"Strict"或"Lax"可以限制Cookie只能在同一站点下才能发送,从而避免了跨站点的请求伪造。 4. 双重提交令牌:一种常用的方式是将令牌存储在服务器端的会话,并将其作为隐藏字段和cookie的值发送给客户端。当表单提交时,服务器验证表单的令牌与会话的令牌是否匹配,如果匹配则接受请求,否则拒绝请求。 5. 使用验证码:在某些敏感操作(如支付、修改密码),可以要求用户输入验证码。这样即使存在CSRF攻击攻击者也无法成功地执行敏感操作。 以上是一些常见的Python修复CSRF漏洞的方法,为了确保应用程序的安全,建议结合多种措施来提高防御的效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值